IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit bei kleinen und mittleren Unternehmen. Dr. Kai Fuhrberg Bundesamt für Sicherheit in der Informationstechnik"

Carl Kaufman
vor 8 Jahren
Abrufe

1 IT-Sicherheit bei kleinen und mittleren Unternehmen Bundesamt für Sicherheit in der Informationstechnik

2 Agenda BSI - Aufgaben und Dienstleistungen IT-Sicherheit: Zahlen & Fakten IT-Grundschutz Zertifizierung im BSI Folie 2

3 Das BSI... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Gründung 1991 per Gesetz als nationale Behörde für ITSicherheit. Jahresbudget: 51 Mio. Mitarbeiter: rund 400 Standort: Bonn Folie 3

4 Kunden und Dienstleistungen Regierung und Verwaltung Unterstützung E-Government IT-Sicherheitsberatung Entwicklung von Kryptosystemen Lauschabwehr Betrieb des Regierungsnetzes Wissenschaft Kooperation mit Universitäten Trendanalysen Vergabe von Forschungsaufträgen Bürger Sensibilisierungskampagnen BSI - Internetangebot Fachbeiträge in Zeitschriften Veranstaltungen, Messen, Kongresse Wirtschaft Nationales CERT IT-Grundschutz Zertifizierung Sicherheitspartnerschaften Folie 4

5 IT-Sicherheit: Zahlen & Fakten Steigende Zahl von Angriffen 15% der Internetnutzer hatten 2003 Sicherheitsprobleme im Internet* pro Tag neue Viren 1996: 10 von 1000 PCs infiziert 2002: 160 von 1000 PCs steigende Schäden: 2003 allein durch Viren rund 13 Mrd. Dollar** * Destatis (10/2004) ** Computer Economics 2004 Folie 5

6 ABER: Mangelnde Investitionsbereitschaft... in die Technik: IT-Sicherheit ist für 90 Prozent der Unternehmen für die Erreichung des Unternehmensziels wichtig* Aber: 75 Prozent der Unternehmen investieren weniger als 10 Prozent des IT-Budgets für Sicherheit. Rund 12 Prozent haben bislang überhaupt kein Geld für Security-Maßnahmen ausgegeben.** Positiv: Je größer das Unternehmen, desto mehr Sicherheitsmechanismen.*** * Ernst&Young (2003) ** CompTIA (2003) ***Statistisches Bundesamt (2004) Folie 6

7 Mangelnde Investitionsbereitschaft... in die Ausbildung der Mitarbeiter: 75 Prozent aller IT-Leiter sehen menschliches Versagen als größtes IT-Sicherheitsrisiko* Aber: nur 35 Prozent der Unternehmen veranschlagen ITBudget für die Ausbildung/Sensibilisierung der Mitarbeiter** rund ein Viertel aller Angreifer sind Mitarbeiter*** * Hitachi Data Systems (2003) ** Ernst&Young (2003) *** Mummert (2002) Folie 7

8 Weitere Sicherheitsbarrieren Sicherheitsbarrieren sind vielfältig: Zeitmangel Budgetknappheit zunehmende Komplexität der Sicherheitsbedrohung mangelnde Awareness bei den Mitarbeitern Komplexität der Technologie fehlende Sicherheitsstrategie fehlendes qualifiziertes Personal Mögliche Folgen: Imageschäden/Probleme bei Bekannt werden von vertraulichen Daten Schäden durch Ausfallzeiten Folie 8

9 Deshalb: Vorbeugen! BSI Dienstleistungen: Methoden und Werkzeuge zur Integration von IT-Sicherheit IT-Grundschutz Zertifizierung Folie 9

10 Ziel IT-Grundschutz Durch geeignete Anwendung von infrastrukturellen, organisatorischen, personellen und technischen Standardsicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Basis für hochschutzbedürftige IT-Anwendungen dienen kann. Folie 10

11 IT-Grundschutzhandbuch Sammlung von Standardsicherheitsmaßnahmen für typische IT-Systeme Vorgehensweise zur Erstellung von IT-Sicherheitskonzepten Standard für IT-Sicherheit Nachschlagewerk: rund Seiten ständige Aktualisierung kostenfreie elektronische Version: Folie 11

12 Leitfaden IT-Sicherheit IT-Grundschutz kompakt GSHB zu umfangreich für die Belange von kleinen und mittleren Unternehmen (KMU) Essenz aus GSHB für KMUs auf 50 Seiten aufbereitet Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen Zielgruppe: IT-Verantwortliche und Administratoren in kleinen und mittleren Unternehmen und Behörden Download unter: Folie 12

13 IT-Grundschutz-Schulung Selbstlernkurs auf HTML-Basis Warum? Hohe Nachfrage nach Grundschutz-Schulungen Unterstützung von KMUs (niedrigere Schwelle zum Einstieg) Wie? verschiedene Lehrabschnitte mit Übungsfragen und Beispielen Zeitaufwand: 4-5 Stunden ersetzt eine 1- bis 2-tägige Schulung Wo? Folie 13

14 IT-Grundschutz-Tool 3.1 seit August 2004 verfügbar unterstützt bei der Erstellung und Fortschreibung von IT-Sicherheitskonzepten und Sicherheitsrevisionen für Behörden kostenlos für übrige Kunden Staffelpreise (Einzellizenz: 765 Euro + MwSt.) kostenloser Download: 30-Tage-Testversion 3300 Lizenzen im Einsatz Weitere Informationen: Folie 14

15 Zertifizierung im BSI GS-Zertifikat CC-Zertifizierung ITSEC-Zertifizierung Folie 15

16 BSI Zertifizierungsschema Produkt-Zert.: Produkt-Lösg. Internationale Anerkennung Grundschutz: Einsatzkonzepte BSI-Zertifikat* BSI als nationale Sicherheitsbehörde IT-Grundschutz-Zertifikat IT-Grundschutz-Zertifikat bestätigt Umsetzung des IT-Grundschutzes in Systemen * Nachweis gegenüber Dritten (z.b.: Kunden, Branchenverbände, Versicherer, DS-Beauftragte) Produkt-Zertifikat CC/ITSEC Kunde, Anwender, Betreiber 120 lizenzierte Auditoren Unterstützung durch: akkreditierte Prüfstellen lizenzierte Auditoren international. Gremien bzgl. Kriterienabstimmung und gegenseitige Anerkennung Produkt-Zertifikat bestätigt produktspezifische Sicherheitsmerkmale 12 akkreditierte Prüfstellen Folie 16

17 Das IT-Grundschutz-Zertifikat Warum? Unternehmen und Behörden wollen Sicherheitsniveau dokumentieren (intern/nach außen) Wie sicher sind meine Geschäftspartner? Maßstab für Umsetzung von Standard-Sicherheitsmaßnahmen Dafür steht es: In der Institution ist IT-Sicherheit anerkannter Wert.... ist IT-Sicherheitsmanagement vorhanden.... sind Standardsicherheitsmaßnahmen umgesetzt.... zu einem bestimmten Zeitpunkt wurde ein definiertes ITSicherheitsniveaus erreicht. Folie 17

18 CC - Zertifizierung Festlegung Sicherheitseigenschaften des Produkts in Verbindung mit den dort auftretenden Bedrohungen (z.b. Loginfunktion) Festlegung des Grades der Vertrauenswürdigkeit (z.b. Quellcodeanalyse) Festlegung von Einsatzumgebungen und Installationsbedingungen Feststellung von inhärenten Schwachstellen und entsprechenden Gegenmaßnahmen Möglichkeit der Nutzung von vorgegebenen Profilen (Protection Profiles) -> Vergleichbarkeit von Produkten Folie 18

19 IT-Sicherheits-Zertifizierung: Kriterien Common Criteria for Information Technology Security Evaluation Part I: Introduction and general model May : Common Criteria (CC) V : ISO/IEC Version 2.0 CCIB S Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) Juni : Information Technology Security Evaluation Criteria (ITSEC) Zentralstelle für Sicherheit IT-SICHERHEITSKRITERIEN Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) xyz, Datum 1989: German IT Security Criteria (ITS) Folie 19

20 Zertifizierungsverfahren: Beteiligte Partner HERSTELLER ZERTIFIZIERUNGSSTELLE stellt Know-How über Kriterien und Prüfverfahren zur Verfügung PRÜFSTELLE wahrt die Gleichwertigkeit der Prüfverfahren Garant für Neutralität Folie 20

21 Internationale Anerkennung der IT-Sicherheitszertifizierung Zertifizierende und anerkennende Nationen Anerkennende Nationen Finnland Griechenland Australien/ Neuseeland Israel Italien Deuschland Niederlande Frankreich Norwegen Großbritannien Spanien Kanada Schweden USA Ungarn Türkei Österreich Folie 21

22 Aktuelle Zertifikate - Beispiele Infineon Smartcard-Controller (Smart Card IC SLE66CX322P) Gemplus Smart Card Betriebssystem (GemXpresso Pro E64 PK) SuSE Betriebssystem (Linux) IBM Betriebssysteme, Directory-Server, Tivoli Microsoft Firewall GeNUA Firewall Utimaco PC-Sicherheitsprodukte Renesas (Hitachi) Smartcard-Controller (AE43C Version 01) Philips Smartcard-Controller (P16WX064V0C) G+D Tachosmart Card (STARCOS SPK 2.4 mit Tachograph Card Applikation) Folie 22

23 Informationen I BSI-Internetauftritte Folie 23

24 Informationen II Folie 24

25 Informationen III Info-CD-ROMs Folie 25

26 Informationen IV IT-Grundschutz-Hotline Telefon: IT-Grundschutz-Zertifikat IT-Grundschutz-Tool Telefon: CD-ROM auch in Englisch verfügbar kostenlos unter IT-Sicherheitszertifizierung Telefon: Print-Version ca Seiten, 148 Bundesanzeigerverlag Folie 26

27 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Präsident Godesberger Allee D Bonn Tel: Fax: Folie 27

Ähnliche Dokumente

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010)

Übergabe DE-CIX Internet Exchange (BSI-IGZ-0059-2010) BSI Überblick Zertifizierung Vorteile Zertifizierung nach ISO 27001 und IT-Grundschutz Prüfstandards des BSI Beispiele neuerer Zertifikate Akkreditierte